docker sbom方便的软件物料清单扩展
日益严重的软件安全问题,docker 和anchore 联合开发了一个docker 扩展 sbom (软件物料清单)
内部是基于了开源项目syft,使用简单
参考安装
curl -sSfL https://raw.githubusercontent.com/docker/sbom-cli-plugin/main/install.sh | sh -s --
使用
默认是table 格式输出,但是也支持其他格式的,比如json(方便分析以及存储使用)
docker sbom nginx
效果
说明
sbom 是一个很不错的扩展,可以提升我们docker 镜像的透明以及软件的安全,很值得使用
参考资料
https://github.com/docker/sbom-cli-plugin
https://github.com/anchore/syft
https://anchore.com/sbom/docker-sbom-command-creates-sbom-using-syft/
https://www.docker.com/blog/announcing-docker-sbom-a-step-towards-more-visibility-into-docker-images/